Hiểu về Hệ thống Firewall: Khái niệm, Cơ chế hoạt động

MỤC LỤC

Vậy Internet Firewall là gì?

    Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS..) thành các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng. Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào.Cổng vòng làm việc như một sợi dây,sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection).

    Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài. Bởi vì các hệ thống nội bộ và bastion host ở trên cùng một mạng, chính sách bảo mật của một tổ chức sẽ quyết định xem các hệ thống nội bộ được phép truy nhập trực tiếp vào bastion Internet hay là chúng phải sử dụng dịch vụ proxy trên bastion host.

    Sơ đồ chức năng hệ thống của firewall được mô tả như trong hình 2.1
    Sơ đồ chức năng hệ thống của firewall được mô tả như trong hình 2.1

    Các dịch vụ Internet

       Quảng cáo vể mình, vể công ty hay tổ chức của mình cũng như xem các loại quảng cáo trên thế giới, từ kiếm việc làm, tuyển mộ nhân viên, công nghệ và sản phẩm mới, tìm bạn, vân vân. Khả năng chuyển thư điện tử trên Web có bị hạn chế hơn so với các hệ thống chuyển thư điện tử trên Internet, bởi vì Web là một phương tiện trao đổi công cộng, trong khi thư là một cái gì đó riêng tư. Ftp là một dịch vụ cho phép sao chép file từ một hệ thống máy tính này đến hệ thống máy tính khác ftp bao gồm thủ tục và chương trình ứng dụng, và là một trong những dịch vụ ra đời sớm nhất trên Internet.

      Fpt vô cùng hữu ích cho những người dùng Internet, bởi vì khi sục sạo trên Internet, bạn sẽ tìm thấy vô số những thư viện phần mềm có ích về rất nhiều lĩnh vực và bạn có thể chép chúng về để sử dụng. Telnet là rất hữu ích khi bạn muốn chạy một ứng dụng không có hoặc không chạy được trên máy tính của bạn, ví dụ như bạn muốn chạy một ứng dung Unix trong khi máy của bạn là PC.

      Hệ thống Firewall xây dựng bởi CSE

      Các thành phần của bộ chương trình proxy

        Có thể nói rằng SMTP chống lại sự đe doạ tới hệ thống, bởi vì các chương trình mail chạy ở mức độ hệ thống để phân phát mail tới các hộp thư của user. Smap và smapd thực hiện điều đó bằng cách cô lập chương trình mail, bắt nó chạy trên một thư mục dành riêng (restricted directory) qua chroot (thay đổi thư mục gốc), như một user không có quyền ưu tiên. Smapd có trách nhiệm thường xuyên quét thư mục kho của smap và đưa ra các thông báo đã được xếp theo thứ tự (queued messages) tới sendmail để cuối cùng phân phát.

        Chú ý rằng nếu sendmail được đặt cấu hình ở mức bình thường, và smap chạy với uucp user-id (?), mail có thể được phân phát bình thường mà không cần smapd chạy với mức ưu tiên cao. Chúng ta đã biết rằng inetd không cung cấp một sự điều khiển truy nhập mạng nào cả: nó cho phép bất kỳ một hệ thống nào trên mạng cũng có thể nối tới các dịch vụ liệt kê trong file inetd.conf. Vì vậy một client (xác định bởi địa chỉ IP hoặc hostname) có thể khởi động telnetd (một version khác của telnet) khi nó nối với cổng dịch vụ telnet trên firewall.

        Thường thường trong các cấu hình firewall, netacl được sử dụng để cấm tất cả các máy trừ một vài host được quyền login tới firewall qua hoặc là telnet hoặc là rlogin, và để khoá các truy nhập từ những kẻ tấn công. Ftp-Gw tự bản thân nó không đe doạ an toàn của hệ thống firewall, bởi vì nó chạy chroot tới một thư mục rỗng, không thực hiện một thủ tục vào ra file nào cả ngoài việc đọc file cấu hình của nó. Do vậy, việc xác định quyền phải được thiết lập trên gateway và phải thực hiện trứơc khi thực hiện kết xuất (export) hay nhập (import) file.

        Telnet-Gw là một proxy server cung cấp điều khiển truy nhập mạng dựa trên địa chỉ IP và/hoặc hostname, và cung cấp sự điều khiển truy nhập thứ cấp cho phép tuỳ chọn khoá bất kỳ đích nào. Rlogin client có thể chỉ ra một hệ thống ở xa ngay khi bắt đầu nối vào proxy, cho phép hạn chế yêu cầu tương tác của user với máy (trong trường hợp không yêu cầu xác thực). Tuy nhiên để hỗ trợ người sử dụng dùng chương trình plus33 nối vào máy chủ Oracle, bộ firewall của CSE được đưa kèm vào chương trình Sql-net proxy.

        Cài đặt

        Việc đặt cấu hình và quản trị CSE Firewall đều thông qua các chức năng trên menu khi login vào máy Firewall bằng tên người sử dụng là proxy.

        Thiết lập cấu hình

          Một điều cần quan tâm là trong khi đang cài đặt, những máy chủ công khai (Firewall bastion host) có thể bị tấn công trước khi cơ chế an toàn của nó được cấu hình hoàn chỉnh để có thể chạy được. Chương trình netacl là một vỏ bọc TCP (TCP Wrapper) cung cấp khả năng điều khiển truy cập cho những dịch vụ TCP và cũng sử dụng một tệp cấu hình với Firewall. Tuỳ thuộc vào TELNET gateway tn-gw có được cài đặt hay không, quản trị có thể truy cập vào Firewall qua cổng khác với cổng chuẩn của telnet (23).

          Dịch vụ proxy sẽ chạy trên cổng 23 và telnet thực sự sẽ chạy trên cổng khác ví dụ dịch vụ có tên là telnet-a ở trên (Xem file inetd.conf ở trên). Dịch vụ rlogin là một tuỳ chọn có thể dùng và phải được cài đặt trên cổng ứng dụng của bastion host (cổng 512) giao thức rlogin đòi hỏi một cổng đặc biệt, một quá trình đòi hỏi sự cho phép của hệ thống UNIX. Smap và smapd là các tiến trình lọc thư có thể được cài đặt sử dụng thư mục riêng của proxy để xử lý hoặc sử dụng một thư mục nào đó trong hệ thống.

          Khi cấu hình cho proxy server và chương trình điều khiển truy cập mạng điều cần thiết là thiết lập chính xác tập quy tắc để thể hiện đúng với mô hình an toàn mong muốn. Các lỗ hổng trong việc bảo đảm an toàn (Security hole) thường xuyên sinh ra do các chức năng mới được thêm vào, sự xuất hiện của bug và do cấu hình sai. Một cách tiếp cận với việc đảm bảo an toàn cho anonymous FTP là sử dụng netacl để chắc chắn FTP server bị hạn chế trong thư mục của nó trước khi được gọi.

          Điều này cần thiết cho những người không có account trong bastion host cung cấp sự kiểm tra và xác thực nó còn cho phép quản trị sử dụng những điểm mạnh của ftpd cho dù nó chứa một số lỗ hổng về an toàn. Cấu hình và quy tắc cho dịch vụ này nằm ở file /etc/sockd.conf, chỉ có hai từ khoá cần phải quan tâm là permit và deny để cho phép hay không các host đi qua, dịch vụ này không kết hợp với dịch vụ xác thực. Authsrv chứa một cơ sở dữ liệu về người dùng trong mạng, mỗi bản ghi tương ứng với một người dùng, chứa cơ chế xác thực cho mỗi anh ta, trong đó bao gồm tên nhóm, tên đầy đủ của người dùng, lần truy cập mới nhất.

          Dòng permist-host cho thấy một trong số sự mềm dẻo của hệ thống xác thực, một host được lựa chọn để không phải chịu cơ chế xác thực, người dùng từ host này có thể truy cập tự do tới mọi dịch vụ của proxy. Sau khi mỗi chức năng thực hiện xong xuất hiện thông báo Press ENTER to continue rồi chờ cho tới khi phím Enter được bấm để trở lại màn hình điều khiển chính.